Découvrez sur cette page comment autoriser ou refuser l'utilisation d'une fonctionnalité de la Privacy Sandbox.
Présentation des règles d'autorisation
Les règles d'autorisation sont un mécanisme de plate-forme Web qui permet à une page de contrôler l'accès à ses fonctionnalités. À l'aide des règles d'autorisation, une page peut autoriser ou refuser une fonctionnalité sur la page de premier niveau et sur les iFrames multi-origines intégrés.
Lorsque vous répondez à la requête du navigateur, l'en-tête de réponse de la page peut définir les règles à appliquer sur la page. En outre, la balise iFrame définit l'attribut allow si nécessaire pour activer la fonctionnalité dans l'iFrame (si le parent dispose également de l'autorisation). Les autorisations sont déléguées du parent à l'enfant, et l'enfant d'un iFrame reçoit les autorisations du frame parent.
Les règles d'autorisation fonctionnent conjointement avec l'en-tête de réponse et l'attribut allow sur les iFrames. Cette fonctionnalité n'est autorisée que si elle est autorisée à la fois par l'en-tête de réponse et l'attribut allow. Si aucun en-tête "Règles d'autorisation" n'est fourni, chaque règle d'en-tête de fonctionnalité est définie par défaut sur *. Si l'attribut allow d'un iFrame n'est pas défini, la valeur par défaut de la liste d'autorisation est utilisée par défaut.
Si la liste d'autorisation par défaut est *, la fonctionnalité est disponible par défaut pour la page de premier niveau et pour tous les iFrames multi-origines de la page. Il équivaut à <iframe src="some-url" allow="feature *"/>, et il n'est pas nécessaire de définir l'attribut allow dans l'iFrame.
Si la valeur est self, la fonctionnalité n'est disponible que pour la page de premier niveau (et les iFrame de même origine) et n'est pas disponible pour les iFrames multi-origines sans délégation explicite par la page. Cela équivaut à <iframe src="some-url" allow="feature 'self'"/>, où self est l'origine de l'intégrateur. Par conséquent, la balise allow doit être définie pour activer la fonctionnalité dans un iFrame multi-origine.
Pour en savoir plus sur les règles relatives aux autorisations, consultez le contenu suivant:
- Présentation pour les développeurs : Contrôler les fonctionnalités du navigateur avec les règles d'autorisation – Chrome pour les développeurs
- Documentation de référence pour les développeurs sur les Règles relatives aux autorisations
- Ébauche de travail hébergée par le W3C pour les Règles relatives aux autorisations
Règles relatives aux autorisations pour les fonctionnalités de la Privacy Sandbox
Le tableau suivant répertorie les API Privacy Sandbox contrôlées par les règles sur les autorisations:
| API | Directive | Description | Liste d'autorisation par défaut |
|---|---|---|---|
|
Rapports sur l'attribution
(Guide / Spécifications) |
attribution-reporting |
Autorise l'utilisation de l'API Attribution Reporting | * |
|
Federated Credential Management
(Guide / Spécifications) |
identity-credentials-get |
Permet d'obtenir un objet d'identification | self |
| Agrégation privée | private-aggregation |
Autorise la création de rapports à l'aide de Private Agrégation | * |
|
Protected Audience
(Guide / Spécifications) |
join-ad-interest-group |
Autorise l'ajout de l'utilisateur à un groupe de centres d'intérêt pour le site |
* lors des tests
self dans le futur
|
run-ad-auction |
Permet de mettre en concurrence les annonces | * |
|
| Stockage partagé | shared-storage |
Accès en lecture et en écriture avec le stockage partagé | * |
shared-storage-select-url |
Permet d'exécuter l'opération de sélection d'URL. | * |
|
|
Accès à Storage
(Guide / Spécifications) |
storage-access |
Autorise l'accès à l'API Storage Access | * |
requestStorageAccessFor
(Guide / Spécifications) |
top-level-storage-access |
Autorise l'accès à l'accès de premier niveau via requestStorageAccessFor() pour les sites regroupés dans un Ensemble de sites Web associés. |
* |
|
Sujets
(Guide / Spécifications) |
browsing-topics |
Permet de générer des sujets pour l'utilisateur et de lire les sujets générés | * |
|
Hints client user-agent
(Guide / Spécifications) |
Consultez le guide pour obtenir la liste complète des en-têtes. | Autorise le demandeur à accéder à l'indicateur client spécifié | Consultez les spécifications pour obtenir la liste complète des valeurs par défaut de la liste d'autorisation. |
Contrairement aux cookies tiers pour lesquels le propriétaire de la page n'a aucun contrôle précis sur l'utilisation des cookies par les iFrames tiers, une page peut autoriser ou refuser l'utilisation des API Privacy Sandbox par elle-même et par des tiers sur la page à l'aide des règles sur les autorisations. Par exemple, le propriétaire d'une page (un éditeur, par exemple) peut utiliser les règles sur les autorisations pour autoriser des tiers spécifiques à participer aux enchères publicitaires ou interdire à tous les tiers de lire les thèmes de l'utilisateur.
De nombreuses fonctionnalités de la Privacy Sandbox utilisent la valeur par défaut * pour la liste d'autorisation, ce qui permet à tous les iFrames intersites d'utiliser cette fonctionnalité, sauf si les règles sur les autorisations l'exigent. Le propriétaire de la page peut remplacer les règles par défaut et utiliser les leurs, en autorisant uniquement les origines spécifiées sur la page à utiliser la fonctionnalité. Notez que le comportement par défaut des cookies est autorisé dans tous les frames, à l'exception des iFrame en bac à sable. Toutefois, il n'est pas couvert par la politique d'autorisation et son utilisation ne peut pas être contrôlée par l'outil d'intégration. *.
Certaines fonctionnalités de la Privacy Sandbox utilisent la valeur par défaut self de la liste d'autorisation, qui interdit aux iFrames multi-origines d'utiliser la fonctionnalité sans déclaration explicite. Le propriétaire de la page doit utiliser l'attribut allow lors de la création d'iFrames multi-origines pour autoriser l'accès à la fonctionnalité. Par la suite, la valeur par défaut de la liste d'autorisation de certaines API de la Privacy Sandbox (comme la directive join-ad-interest-group pour Protected Audience) passera à self. À l'avenir, d'autres API pourraient remplacer la liste d'autorisation par défaut par self.